De l’espionnage classique au phishing hyperpersonnalisé, la frontière s’efface. Les hackers d’aujourd’hui n’ont rien à envier aux espions de cinéma : recrutement d’« insiders », manipulation émotionnelle et ruses d’autorité, tout y passe pour infiltrer les réseaux d’entreprise.
Il existe de nombreuses similitudes entre les tactiques employées par les espions et celles utilisées par les cybercriminels. Tous deux s’appuient sur le recrutement de personnes pour donner accès, volontairement ou non, à des informations sensibles et confidentielles. Dans le cas d’un espion traditionnel, l’objectif est de permettre à des gouvernements de recueillir, d’analyser des informations importantes pour influencer la sécurité nationale et les intérêts stratégiques d’un pays. De même, l’objectif d’un cybercriminel est d’obtenir les identifiants et l’accès à une organisation afin d’obtenir des informations à des fins lucratives ou criminelles.
En réalité, les cybercriminels n’inventent rien de nouveau, ils recyclent le plus souvent les techniques d’espionnage traditionnelles pour leur propre bénéfice.
Aujourd’hui, il est essentiel que les organisations connaissent ces tactiques d’espionnage et apprennent à les combattre au quotidien notamment en les intégrant à leurs formations de sensibilisation à la sécurité et à leurs stratégies de cybersécurité.
Voici quelques-unes de ces tactiques.
L’art de la manipulation
Les cybercriminels sont passés maîtres dans l’art de la manipulation des émotions humaines, notamment la peur. En manipulant les émotions via des messages alarmistes, tels que de fausses alertes de comptes piratés, de factures impayées ou de poursuites judiciaires, les fraudeurs poussent les victimes à des actions irréfléchies.
Ces tactiques d’ingénierie sociale exploitent l’instinct de réaction rapide face aux menaces perçues, incitant les victimes à cliquer sur des liens malveillants, à télécharger des pièces jointes dangereuses ou à fournir des informations sensibles comme leurs identifiants de connexion. La peur est un puissant facteur de motivation, et les cybercriminels l’utilisent pour contourner le jugement rationnel et rendre les individus les plus prudents vulnérables à leurs manœuvres. Reconnaître ces déclencheurs émotionnels est essentiel pour rester vigilant et se protéger de leurs pièges.
Biais lié à l’autorité
Le biais d’autorité est un phénomène psychologique qui rend les individus particulièrement vulnérables à la manipulation via des e-mails et des messages malveillants émanant de figures d’autorité. Ce biais découle de la tendance innée à obéir aux demandes ou aux instructions de ceux qui sont perçus comme ayant du pouvoir, de l’expertise ou de l’influence.
Les cybercriminels rédigent des messages en exploitant ce phénomène en se faisant passer pour des managers, des cadres ou autres figures d’autorité, ce qui crée un sentiment d’urgence ou d’obligation. Par exemple, un e-mail semblant provenir d’un PDG peut demander des informations sensibles ou une action immédiate en exploitant le désir du destinataire de plaire et de ne pas décevoir une personne en position d’autorité. La peur des répercussions ou l’instinct d’obéir aux ordres sans se poser de questions peuvent prendre le pas sur l’esprit critique, rendant les individus plus vulnérables aux escroqueries par hameçonnage ou autres formes d’ingénierie sociale. Cela souligne l’importance de favoriser une culture du scepticisme et de former les employés à vérifier les demandes, même celles provenant de sources fiables, avant d’agir.
Jouer avec les émotions
Tout comme les espions, les cybercriminels sont devenus experts dans l’art de jouer avec les émotions de leurs cibles. Ils exploitent leur cupidité en créant des messages alléchants promettant des récompenses financières ou des offres exclusives, incitant ainsi les victimes à cliquer sur des liens malveillants ou à partager des informations sensibles. De même, ils exploitent la serviabilité en se faisant passer pour des collègues, des amis ou des figures d’autorité en détresse, créant ainsi un sentiment d’urgence qui affaiblit les défenses et encourage une action rapide et irréfléchie. En combinant manipulation émotionnelle et ingénierie sociale, ces tactiques trompent efficacement les individus et ouvrent la voie aux cyberattaques.
Les cybercriminels exploitent également l’excès de confiance, la routine et la complaisance pour mener à bien leurs plans. Beaucoup se croient invulnérables aux pièges des arnaques : ils parcourent rapidement leurs e-mails ou font une confiance excessive aux mesures de sécurité de leur organisation, ce qui diminue leur vigilance. Les cybercriminels exploitent cette faille en imitant des communications familières (demandes professionnelles, avis de suivi de colis…). Grâce à l’IA, ils personnalisent ces messages en fonction de l’activité sur les réseaux sociaux et du comportement en ligne, rendant leurs e-mails de phishing extrêmement persuasifs. Ces messages personnalisés font référence à des détails précis, comme des achats récents ou des étapes professionnelles marquantes, ce qui les rend authentiques et augmente les chances d’engagement.
L’art de…ne rien faire !
Le meilleur conseil à donner aux personnes susceptibles d’être victimes de tactiques d’espionnage de la part de cybercriminels, dans leur vie professionnelle ou personnelle, est de ne rien faire lorsqu’elles sont profondément affectées par la réception d’un e-mail ou d’un appel téléphonique.
Lorsque l’on reçoit un e-mail ou un message potentiellement malveillant et urgent, il est important de résister à l’envie d’agir immédiatement. Les cybercriminels exploitent souvent l’urgence pour contourner les décisions rationnelles, incitant à des actions hâtives comme cliquer sur des liens malveillants ou partager des informations sensibles. Prendre le temps de vérifier l’authenticité d’un message peut faire toute la différence entre être victime d’une arnaque et préserver sa sécurité personnelle ou celle de son organisation.
Des mesures simples comme vérifier l’adresse e-mail de l’expéditeur ou le contacter via un canal de confiance peuvent contribuer à confirmer la légitimité.
En privilégiant la prudence à la rapidité, les individus peuvent se protéger, ainsi que leur organisation, contre les attaques de phishing et autres cybermenaces.
____________________________
Par Sébastien Weber, Regional Vice President Sales, Southern Europe chez Mimecast
puis